EU:n laajuinen tietosuoja-asetus astuu voimaan 25.5.2018, joten nyt kannattaa viimeistään tarttua aiheeseen.
Tietosuoja-asetuksen käyttöönotto yrityksissä ja organisaatioissa tulisi olla täydessä vauhdissa: omat henkilötietorekisterit listattu, niiden käyttökohteet ja tietoja käsittelevien henkilöiden roolit määritelty ja tietosuoja-asiat kaikin puolin turvattu. GDPR tuo mukanaan useita vaatimuksia, joista yrityksen tulee olla tietoinen sanktioilta välttyäkseen.
GDPR tuo lisää velvollisuuksia, mutta samalla se yhdenmukaistaa tietosuojalainsäädäntöä EU-alueella ja helpottaa näin palveluiden tarjoamista koko EU-alueella. Tietosuoja-asetus korvaa nykyisen henkilötietolain ja tulee sovellettavaksi lähes sellaisenaan. Yksi asetuksen keskeisimmistä muutoksista on rekisterinpitäjän osoitusvelvollisuus eli osoittaa, että henkilötietojen käsittelyssä on noudatettu kyseistä asetusta. Täytyy kuitenkin muistaa, että GDPR ei muuta olemassa olevia kansallisia, osa-aluekohtaisia säännöksiä.
Yrityksen on varmistettava, että mahdolliset yhteistyökumppanit ja ulkopuoliset käsittelijät osaavat huolehtia yrityksen henkilötietorekisterien sisältämistä tiedoista GDPR:n mukaisesti. Rekisterinpitäjä on aina vastuussa henkilötietojen käsittelystä ja suojaamisesta – myös niissä tapauksissa, kun tieto on kumppanien käsissä.
GDPR-terminologiaa lyhyesti
Henkilötieto (personal data)
Tietosuoja-asetuksen mukaan kaikki henkilöä yksilöivä tieto on henkilötietoa, kuten nimi, kotiosoite, sähköpostiosoite, valokuva, sosiaalisen median päivitykset, ostokset, pankkitiedot, käyttäjätunnus, maksukorttinumero sekä IP-osoite.
Henkilötiedon käsittely voi olla mitä tahansa tietojen keräämistä, tallettamista, järjestämistä, käyttämistä, siirtämistä, luovuttamista, säilyttämistä ja muuttamista tai poistamista, tuhoamista unohtamatta.
Henkilörekisteri
Henkilörekisteri on tietokanta, dokumentti tai listaus, jossa on yksi tai useampi ihmistä yksilöivä tieto. Rekisteri voi koostua sekä organisaation ulkopuolisista, että sisäisistä henkilöistä, kuten työntekijöistä tai alihankkijoista.
Henkilörekistereitä ovat esimerkiksi:
• Asiakasrekisteri (myös myynti- tai tuotantojärjestelmässä)
• Palkanlaskennan järjestelmä
• Verkkokauppa
• Maksujärjestelmät
• CRM
• Active Directory tai vastaava yrityksen sisäinen järjestelmä
• Exchange, Skype yms.
Rekisteriseloste / tietosuojaseloste
Rekisteriseloste tulee tehdä jokaisesta erillisestä rekisteristä. Esimerkiksi myynnin ja markkinoinnin CRM sekä palkanlaskennan henkilörekisterit ovat kaksi eri rekisteriä, joilla on myös erilaiset käyttötarkoitukset.
Selosteen tulisi pitää sisällään seuraavat tiedot:
1. Rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
2. Käsittelyn tarkoitukset
3. Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
4. Henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan
5. Tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle
6. Eri tietoryhmien poistamisen suunnitellut määräajat
7. Yleinen kuvaus teknisistä ja organisatorisista turvatoimista
Tietosuojaselosteessa on siis käytännössä kerrottava, kuka on vastuussa henkilötietojen käsittelystä, ketkä tietoja käsittelevät, mitä tietoja kerätään ja mitä varten tietoja käsitellään sekä kuinka kauan tietoja säilytetään. Lisäksi selosteessa pitää mainita, jos tietoja luovutetaan esimerkiksi yhteistyökumppaneille.
Rekisterinpitäjä (data controller)
Rekisterinpitäjä on aina juridisessa vastuussa rekisteristä ja määrää sen käytöstä. Rekisterinpitäjä voi olla yritys, viranomainen, yhdistys, laitos, säätiö tai taho, jonka tarpeisiin rekisteri on alun perin luotu. Rekisterinpitäjän on laadittava rekisteriseloste.
Henkilötietojen käsittelijä (data processor)
Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Esimerkiksi digitaalisten palveluiden toimittajat käsittelevät asiakasyritystensä asiakkaiden tietoja toimittamiensa palveluiden kautta. Kirjautumista vaativiin palveluihin syntyy väistämättä henkilötietorekisteri kerätyistä tiedoista. Henkilötietojen käsittelijän on ilmoitettava mahdollisesta tietoturvaloukkauksesta rekisterinpitäjälle viipymättä.
Tietosuojavastaava (data protection officer)
Organisaation on nimettävä tietosuojavastaava, mikäli sen ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittely. GDPR-asetuksessa suositellaan nimeämään kaikkiin yrityksiin tietosuojavastaava.
Tietosuojavastaavan tehtäviin kuuluu asiantuntija-avun antaminen henkilöstölle sekä organisaation johdolle tietosuojaan liittyvissä kysymyksissä. Tietosuojavastaava on henkilötietojen käsittelyä valvova taho sekä yhdysside valvontaviranomaisiin, kuten tietosuojavaltuutettuun.
Tietotilinpäätös (data balance sheet)
Tietosuoja-asetus edellyttää yrityksiä dokumentoimaan rekistereiden hallintaan liittyvät tietoturvakäytännöt. Tietotilinpäätös on tietosuojavaltuutetun suosittelema tapa dokumentointiin.
Tietotilinpäätöksen tavoitteena on antaa kuvaus tietojen käsittelyn nykytilasta sekä arvio tietosuojan ja tietoturvan toteutumisesta. Tietotilinpäätöksellä yritys voi osoittaa noudattavansa hyvää tietojenkäsittelytapaa. Lisäksi se toimii keinona tietosuoja-asetuksen osoitusvelvollisuuden toteuttamisessa.
Yksi GDPR:n tuoma velvollisuus on ilmoittaa tietoturvaloukkauksista rekisteröidylle sekä valvontaviranomaiselle 72 tunnin kuluessa tietoturvaloukkauksen ilmitulosta.
Kuinka valmistautua GDPR-yhteensopivuuteen – mitä ainakin täytyy tehdä?
GDPR-asetus vaatii yrityksiä kiinnittämään tietoturvaan entistä enemmän huomiota ja vaatii monissa yrityksissä paljon työtä. Alla on lista tehtävistä, jotka jokaisessa yrityksessä tulee suorittaa:
1. Kartoita tietojen käsittelyn nykytila ja listaa henkilötietorekisterit. Muista myös henkilötietojen käsittelyn ulkoistukset
2. Päivitä prosessit asetuksen mukaisiksi
3. Hanki henkilöiltä lupa tietojen keräämiseen
4. Nimeä tietosuojavastaava
5. Tarkista sopimustilanne asiakkaiden, palveluntuottajien, alihankkijoiden sekä toimittajien kanssa. Henkilötietojen käyttöä ja käytäntöjä koskevan sisällön tulee olla GDPR-asetuksen vaatimusten mukainen.
6. Dokumentoi tietoturvakäytännöt ja laadi tietotilinpäätös
Käy läpi ja dokumentoi yrityksesi henkilötietoihin liittyvä prosessi. Muista, että yrityksesi on kyettävä perustelemaan, miksi henkilötietoja käytetään. Tämän jälkeen listaa henkilötiedot, joita yritykselläsi on hallussa sekä paikat missä niitä säilytetään. Kirjaa ylös miten ja milloin kunkin henkilön suostumus on saatu.
Dokumentoi kuinka tiedot pidetään turvassa, kenellä on niihin pääsy ja jaetaanko tietoja esimerkiksi jonkin kolmannen osapuolen kanssa. Luo myös selkeät säännöt henkilötietojen säilyttämiseen ja poistamiseen liittyvään prosessiin.
Sopimukset kuntoon
Henkilötietojen kanssa tekemisissä olevien tahojen (sekä käsittelijä ja rekisterinpitäjä) täytyy GDPR:n mukaisesti sopia hankintasopimuksissa henkilötietojen käsittelystä. Useimmiten tästä sovitaan tietosuojaliitteessä. Liitteet muodostavat monessa yrityksessä kaikista työläimmän osan tietosuoja-asetuksen jalkauttamisessa, sillä asiakasprojekteissa ollaan tavalla tai toisella tekemisissä henkilötiedon kanssa.
Tarpeellista lisätietoa löytyy tietosuojavaltuutetun oppaasta.
